[讨论]给PS定位特征码的时候遇见的怪事 怪事, 特征, 遇见, 讨论

s37su37

[讨论]给PS定位特征码的时候遇见的怪事
议题作者：sniper
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

刚才给pcshare定位喀吧6.0下的特征码，update目录下的那三文件，exe倒好过，找到位置后一个jmp就搞定。DLL和EXE定位出来的特征码却然我感觉有点匪夷所思了：

dll
    -------------定位结果------------
   序号  起始偏移   大小   结束偏移
  0001  00000000  00000010  00000010  
  0002  00000030  00000010  00000040  
  0003  000000F0  00000020  00000110  

  0001  00000120  00000002  00000122  

  0001  000001FC  00000002  000001FE  
  0002  00000204  00000002  00000206  

~~~~~~~~~~~~~~~~~~~
sys

    -------------定位结果------------
   序号  起始偏移   大小   结束偏移
   0001  00000000  00000002  00000002  
  0002  0000003C  00000002  0000003E  

  0001  000000D0  00000002  000000D2  
  0002  000000D6  00000002  000000D8  
  0003  000000E4  00000002  000000E6  
  0004  000000F8  00000002  000000FA  


这2个文件的特征码定位出来竟然全部这么靠前，这貌似就没法改了呀。。。你随便动哪一下那出的问题可都不一般了，直接无效的PE文件啊。以前很少接触免杀这方面，最近才接触，烦请各位达人指教：如何修改这类的特征码来pass喀吧。
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP 赚更多的钱


赐我一败
晶莹剔透§烈日灼然

阿世

位于什么区段的, 把相应的汇编代码发出来看下.....
帖子3 精华0 积分13 阅读权限40 在线时间22 小时 注册时间2007-7-2 最后登录2008-1-2 查看详细资料TOP 让女孩一夜变的更有女人味

天堂夜色
晶莹剔透§烈日灼然

老虎仔

00000030  00000010  00000040  
  0003  000000F0  00000020  00000110

0001  00000120  00000002  00000122  

这些是不是在PE文件头的位置呀？如果是，听说在现在有一个什么PE文件头移位的方法，（只是听说，我也没有做过）
帖子14 精华0 积分25 阅读权限40 性别男 在线时间2 小时 注册时间2007-1-26 最后登录2008-6-26 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

sniper
荣誉会员

警警

WINHEX打开那个DLL的图在附件。特征码就全部是在文件头那里。
附件
1.GIF (25 KB)
2008-1-3 11:09
1

帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

xxfish
荣誉会员

雪欧飞狐

移动下PE头测试是否可以免杀，如果不免杀,那么说明你定位的错误，因为现在的杀毒软件并非之前的杀毒软件，基本上都做了一些反定位措施，你可以跳过PE头从代码段开始定位。。
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

sniper
荣誉会员

ygw92711

移了PE，免杀了，但是文件被我改坏了。。。。不知道什么原因
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP 少女暴富的隐秘（图）

hitlerboy
晶莹剔透§烈日灼然

小妖

自己重写pe头
帖子79 精华0 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 查看详细资料TOP 让女孩一夜变的更有女人味

xxfish
荣誉会员

hxpaaa

......你移动的是否正确...
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP

sniper
荣誉会员

乡下佬

不知道是否正确啊。。。。。有没有相关动画一类的，第一次移PE，非常有可能是操作错误
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

xxfish
荣誉会员

波柱

我给黑客防线做免杀课程有修改PE头类课程，不过是vip课程....... 你加我qq4159175我给你看下是否正确... 其实就是移动下整个PE头然后修改下IMAGE_DOS_HEADER结构e_lfanew域..
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP

上帝在堕落
晶莹剔透§烈日灼然

青蛙

我在瑞星下作鸽子免杀的时候也有特征在PE头上，绕不过去。。赠人玫瑰，手留余香。

帖子41 精华0 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 查看详细资料TOP

7个b
晶莹剔透§烈日灼然

horst

to:上帝在堕落
什么版本的鸽子?
我试过免杀07的鸽子DLL文件,被瑞星定义的第三处特征码就在PE头附加的指令...
无论用什么方法,那条汇编指令一但改变,文件就无法正常被加载...
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料TOP

silenceshell
晶莹剔透§烈日灼然

shenbi

现在给鸽子做免杀是个天煞的事情..show more..

帖子35 精华0 积分111 阅读权限40 在线时间65 小时 注册时间2007-6-22 最后登录2008-7-15 查看详细资料TOP

sniper
荣誉会员

东莞藤原文太

最近感冒了，很严重。。而且也比较忙。等空了再请教fish同志吧。
PS：我加FISH的QQ了，我可能在你陌生人里面
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

xxfish
荣誉会员

caio

....你给我说句话,注明邪八就行了。不然我很少说话的.... 呵呵 祝你早日康复...
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP

yzx65
晶莹剔透§烈日灼然

原野

可以反向定位。。开始的位置不一定要在E0。可以从第一个节开始。
PS：我觉得改头一点用都没有。。反而以后的免杀就麻烦了。。君子与其练达，不若朴鲁；与其曲谨，不若疏狂。

帖子3 精华0 积分-133 阅读权限1 性别男 在线时间55 小时 注册时间2006-5-13 最后登录2008-7-20 查看详细资料TOP

yeufish
晶莹剔透§烈日灼然